Palo Alto Networks avertit que les pirates exploitent la vulnérabilité de déni de service CVE-2024-3393 pour désactiver les protections du pare-feu en le forçant à redémarrer.

Cependant, l’exploitation répétée du problème de sécurité entraîne le passage de l’appareil en mode de maintenance et une intervention manuelle est nécessaire pour le rétablir à un fonctionnement normal.

« Une vulnérabilité de déni de service dans la fonctionnalité de sécurité DNS du logiciel PAN-OS de Palo Alto Networks permet à un attaquant non authentifié d’envoyer un paquet malveillant via le plan de données du pare-feu qui redémarre le pare-feu », indique l’avis.

Le bogue DoS est activement exploité
Palo Alto Networks affirme qu’il est possible d’exploiter la vulnérabilité par un attaquant non authentifié qui envoie un paquet malveillant spécialement conçu à un appareil affecté.

Le problème affecte uniquement les appareils sur lesquels la journalisation de la « sécurité DNS » est activée, tandis que les versions de produit affectées par CVE-2024-3393 sont indiquées ci-dessous.

Le fournisseur a confirmé que la faille était activement exploitée, notant que les clients avaient connu des pannes lorsque leur pare-feu bloquait les paquets DNS malveillants des attaquants exploitant le problème.

La société a corrigé la faille dans PAN-OS 10.1.14-h8, PANOS 10.2.10-h12, PANOS 11.1.5, PANOS 11.2.3 et les versions ultérieures.

Cependant, il est à noter que PAN-OS 11.0, qui est affecté par CVE-2024-3393, ne recevra pas de correctif car cette version a atteint sa date de fin de vie (EOL) le 17 novembre.

Palo Alto Networks a également publié des solutions de contournement et des étapes pour atténuer le problème pour ceux qui ne peuvent pas mettre à jour immédiatement:

Pour les NGFW non gérés, les NGFW gérés par Panorama ou PrismaAccess gérés par Panorama:

  1. Accédez à: Objets → Profils de sécurité → Anti-spyware → Stratégies DNS → Sécurité DNS pour chaque profil Anti-spyware.
  2. Modifiez la gravité du journal sur « aucun » pour toutes les catégories de sécurité DNS configurées.
  3. Validez les modifications et rétablissez les paramètres de gravité du journal après l’application des correctifs.

Pour les NGFW gérés par Strata Cloud Manager (SCM):

  • Option 1: Désactivez la journalisation de la sécurité DNS directement sur chaque NGFW en suivant les étapes ci-dessus.
  • Option 2: Désactivez la journalisation de la sécurité DNS sur tous les NGFW du locataire en ouvrant un dossier de support.

Pour l’accès Prisma géré par Strata Cloud Manager (SCM):

  1. Ouvrez un dossier d’assistance pour désactiver la journalisation de la sécurité DNS sur tous les NGFW de votre locataire.
  2. Si nécessaire, demandez d’accélérer la mise à niveau du locataire Prisma Access dans le dossier de support.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *